0 |
«Урядова команда реагування на комп'ютерні надзвичайні події України» (CERT-UA) зафіксувала 21 грудня масове розповсюдження електронних листів з тематикою «Заборгованості за договором Київстар» та вкладенням у вигляді архіву «Заборгованість абонента.zip».
Зазначений ZIP-архів містить розділений на дві частини RAR-архів «Заборгованість абонента.rar», в якому знаходиться однойменний архів захищений паролем. В останньому знаходиться документ з макросом «Заборгованість абонента.doc».
У разі активації код макросу за допомогою оглядача файлів (explorer.exe) з використанням протоколу SMB здійснить завантаження на ЕОМ та запуск файлу «GB.exe». Своєю чергою зазначений файл є SFX-архівом, що містить batch-скрипт для завантаження з сервісу bitbucket та запуску виконуваного файлу «wsuscr.exe», обфускованого за допомогою SmartAssembly .NET, призначенням якого є дешифрування та запуск програми для віддаленого управління RemcosRAT.
Окрім того, зафіксовано розповсюдження листів з темою «Запит СБУ» та вкладенням у вигляді архіву «Документи.zip», що містить захищений паролем та розділений на три частини RAR-архів «Запит.rar». В останньому знаходиться виконуваний файл «Запит.exe». У випадку відкриття такого архіву та запуску виконуваних файлів ЕОМ може бути уражена програмою RemcosRAT.
Окрім типового для UAC-0050 розміщення серверів управління RemcosRAT на технічному майданчику малайзійського хостинг-провайдера Shinjiru, їх також розміщено в межах автономної системи AS44477 (Stark Industries Solutions).
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |